PT-2022-2474 · Uclibc-Ng+2 · Uclibc-Ng+2
Andrea Palanca
+1
·
Publicado
2022-05-02
·
Atualizado
2023-08-08
·
CVE-2022-30295
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do uClibc-ng até a 1.0.40
Versões do uClibc até a 0.9.33.2
Descrição
O problema está relacionado ao uso de IDs de transação DNS previsíveis, o que pode levar ao envenenamento do cache DNS. Isso se deve a uma redefinição de um valor para 0x2. A vulnerabilidade pode ser explorada por um invasor remoto para enviar pacotes DNS especialmente criados, potencialmente danificando o cache DNS com registros incorretos e redirecionando usuários para sites arbitrários.
Recomendações
Para versões do uClibc-ng até 1.0.40, atualize para uma versão posterior à 1.0.40 para resolver o problema.
Para versões do uClibc até 0.9.33.2, atualize para uma versão posterior à 0.9.33.2 para resolver o problema.
Como solução temporária, considere restringir a funcionalidade de consulta DNS até que um patch esteja disponível.
Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Uclibc
Uclibc-Ng